金融庁企業会計審議会内部統制部会は1月31日、第16回部会を開催。日本版SOX法(J-SOX)「実施基準」の確定版の案(以下、確定版)の内容を明らかにした。公開草案(以下、実施基準案。「内部統制.jp」の特集ページを参照)と比べて、考え方や数値などに大きな変更はないが、IT関連で「全社統制の不備の例」の記述が変更された。

 実施基準は、日本版SOX法の実務上の指針(ガイドライン)。正式には、財務報告にかかる内部統制の評価および監査に関する実施基準と呼ぶ。金融庁は昨年11月21日に実施基準案を公開し、同12月20日までパブリック・コメントを受け付けた。確定版は、その結果を反映させたものだ。金融庁によれば、寄せられたパブリック・コメントは190件で、うち法人・団体が59件、公認会計士や弁護士を含む個人が131件だった。

 確定版で変更されたIT全社統制の不備の例は、「II.財務報告にかかる内部統制の評価および報告」に記載されているもの。実施基準案では、「ITのアクセス制限にかかる内部統制に不備があり、それが改善されずに放置されている」と記述されていた部分が、「財務報告にかかるITに関する内部統制に不備があり、それが改善されずに放置されている」に変更された。これは実施基準案の記述に対する、「全社的な内部統制の例として不適切ではないか」という趣旨のパブリック・コメントを受けたものだ。

 IT関連では、このほかに「III.財務報告にかかる内部統制の監査」の「ITを利用した内部統制の整備状況および運用状況の有効性の評価」に若干の変更があった。実施基準案では、「ITを利用した内部統制の評価は、(内部統制の変更や障害・エラーなどの不具合がない場合)、前年度の評価を利用できる」としていた。これに対し、確定版では「前年度」が「過年度」に変更され、「数年前の評価結果でも利用できる」と解釈できるようになった。

 また、確定版本文には書かれていないが、「委託業務の範囲について具体的にはどのようなものか。ソフトウエアの外注は委託業務の対象になるのか」というパブリック・コメントに対して、「財務報告の信頼性に重要な影響をおよぼす虚偽記載が発生する可能性のある業務を外部の専門会社等に依頼している場合は評価対象になる。いわゆる外注についても、財務報告の信頼性におよぼす影響の重要性の観点から対象とすることの要否を判断することになる」との考えを示した。

 IT以外については、「事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合に、職務分掌に代わる代替的な統制や企業外部の専門家の利用等の可能性を含め、その特性に応じた工夫が行われるべきことは言うまでもない」と、中小企業に配慮した記述が追加された。ただし、中小企業に対する日本版SOX法の適用時期に関しては、「法律で決まっている事項」として、延期しないとした。作成がうわさされている、「実施基準」に関するQ&A集を提供するかどうかは、金融庁は「これから検討する」として明言を避けた。

 このほか、「内部統制報告書や内部監査報告書の記載事項、ひな型の例示」や「米SOX法(2002年サーベインズ・オクスリー法)に対応している日本企業に対する取り扱い」、「子会社の決算期が異なる場合の取り扱い」などについては、「政令・内閣府令で今後、検討していく」(金融庁)とした。

 1月31日の部会で配られたのは、「財務報告にかかる内部統制の評価および監査の基準ならびに財務報告にかかる内部統制の評価および監査に関する実施基準案の設定について(意見書)(案)」。ここには実施基準に加えて、05年12月8日に内部統制部会が発表した「財務報告にかかる内部統制の評価および監査の基準案(基準案)」も含まれている。

 この意見書は、内部統制部会の上位組織にあたる企業会計審議会に提出され、そこで承認されて正式に「実施基準」として公開される。ただし今回の内部統制部会で、内容は事実上確定したと考えられる。企業会計審議会は2月中に開催予定だ。内部統制部会の開催は、今回で終了した。